База знаний, Статьи и обзоры

Data Loss Prevention (DLP) – Технология предотвращения утечки конфиденциальной информации

Ноутбук з чорним циферблатним навісним замком поруч на білому столі.
28 Апр

Что такое DLP?

Системы DLP позволяют ответить на 3 ключевых вопроса:

  • Где находятся данные?
  • Как они используются?
  • Как предотвратить их утечку?

Решения DLP делятся на 2 вида:

  • DLP Endpoint – решение на базе агента
  • Network DLP – сетевой DLP

На конечных точках (т.е. настольные ПК, ноутбуки и т.п) необходимо решение на базе агента (DLP Endpoint), способное закрыть все возможные каналы утечки, характерные для данного типа устройства:

  • Копирование на USB-носители
  • Копирование на CD/DVD
  • Копирование в сетевые папки
  • Отправка данных по факсу, или на печать

Так же, агент позволяет защищать сетевые протоколы, такие как электронная почта, веб (HTTP/HTTPS), FTP и обмен мгновенными сообщениями.

Помимо этого, агент позволяет сканировать внутренние жесткие диски на предмет поиска конфиденциальной информации.

Наличие агента DLP особенно актуально для ноутбуков, которые могут отключены от корпоративной сети и подключен к менее защищенной сети (например Wi-Fi в кафе, или к домашней сети).

Сетевой DLP устанавливается там, где информация может покинуть пределы корпоративной сети. Основной задачей сетевого DLP является сканирование протоколов (электронная почта, веб-почта, постинг и т.д.) и поиск конфиденциальной информации на файловых серверах и базах данных. Если сетевой DLP замечает попытку “сливания” информации, он должен блокировать эту возможность.

Помимо всего этого, сетевой DLP позволяет предотвратить утечку данных с неконтролируемых устройств (Планшеты, Мобильные телефоны, ноутбуки гостей и т.д), на которые нельзя установить DLP агент.

Хорошим подходом является использование DLP Endpoint + Network DLP. Это позволяет организовать многоуровневую защиту.

Классификация данных

В решениях DLP данные разделяют на 3 вида:

  1. Data-at-Rest (DaR) – информация в покое (данные на рабочих станциях, базах данных, почтовых архивах, файловых серверах и т.д.)
  2. Data-in-Motion (DiM) – информация в движении (данные, пересылаемые по почте, передаваемые через Skype и другие IM, постинг в блогах и т.д.)
  3. Data-in-Use (DiU) – информация в работе (данные, используемые/копируемые с/на USB-накопитель, CDs/DVDs, внешний винчестер, или отправленные на печать и т.д)

Архитектура решений DLP

DLP Endpoint

В основе DLP Endpoint лежит агент, который устанавливается на конечную точку.

Функции:

  • Контроль за способом отправки конфиденциальных данных пользователями, доступом к ним, за печатью данных, передачей по сети и через приложения, а так же путем копирования данных на устройства хранения.
  • Защита электронной почты, веб-почты, пиринговых приложений, мгновенных сообщений, Skype, HTTP, HTTPS, FTP, Wi-Fi, USB, CD\DVD, принтеры, факс и съемные устройства.

Возможности:

  • Мониторинг. Разрешение передачи данных
  • Предотвращения. Блокирования передачи данных
  • Оповещение. Оповещение администратора и конечных пользователей
  • Шифрование. Обеспечение шифрования данных перед передачей
  • Карантин. Помещение на карантинное хранение до момента авторизации.

Настройки могут отличаться в зависимости от состояния системы (Online/Offline).

Network DLP

Как правило, состоит из нескольких модулей (число модулей может изменяться в зависимости от вендора)

  • DLP Monitor – позволяет собирать, отслеживать и документировать данные, передаваемые по всей сети на протяжении всего времени наблюдения
  • DLP Discover – позволяет определить, подвергаются ли ваши конфиденциальные данные риску, и установить их местоположение.
  • DLP Prevent – Обеспечивает защиту от утечки данных путем контроля за данными, покидающими пределы сети по любому каналу – электронной почте, веб-почте, в мгновенных сообщениях, через вики, блоги, порталы, по протоколам HTTP/HTTPS и FTP.

DLP Monitor. (Data-in-Motion)

Основные возможности:

  • Обнаружение конфиденциальной информации
  • Захват и индексация всего сетевого трафика
  • Классификация сетевого трафика
  • Мониторинг доступа к внутренним файлам

 

DLP Discover. (Data-at-Rest)

Основные возможности:

  • Проверка информации, находящейся на всех доступных ресурсах (CIFS, NFS, HTTP(S), FTP, Sharepoint, MS SQL (2005>), Oracle (10g>)
  • Обнаружение местонахождения конфиденциальных данных  и определение владельца содержимого
  • Индексация всего содержимого и последующий поиск конфиденциальной информации
  • Регистрация и генерирование сигнатур

DLP Prevent. (Data-in-Motion)

Основные возможности:

  • Защита корпоративной электронной почты путем интеграции со шлюзами MTA и  использования протокола SMTP с Х-заголовками для блокирования, возврата, шифрования, перемещения в карантин и перенаправления сообщения.
  • Контроль трафика благодаря интеграции с веб-прокси, поддерживающим протокол ICAP.
  • Обнаружение и контроль конфиденциальной информации

Обнаружение конфиденциальной информации

DCM (Described Content Matching)

DCM – механизм поиска информации по ключевым словам. Применяется к неиндексируемым данным. Использует идентификаторы данных, которые можно описать строго заданным форматом:
Номера паспортов, кредитных карт, страховых полисов и т.д.

IDM (Indexed Data Matching)

IDM использует цифровые отпечатки с неструктурированных данных (текстовый документ, текст письма, код программы).

Цифровые отпечатки позволяют впоследствии определить насколько новый документ поход на исходный. Благодаря этому методу, система DLP может отслеживать не только исходный файл, но и похожий на него (если кто-то скопировал часть документа, сохранил его в другом формате, удалил некоторые слова, изменил местоположение абзацев и т.д).

EDM (Exact Data Matching)

EDM использует цифровые отпечатки со структурированных (табличных) данных. Принцип работы похож на IDM. Примерами структурированных данных могут быть прайс-листы, списки клиентов, сотрудников и т.п.

VML (Vector Machine Learning)

VML представляет собой самообучающуюся систему, которую можно назвать “искусственным интеллектом”.
Технология работает след. образом.

Сначала системе для обучения необходимо предоставить достаточно большое количество однотипных документов (желательно не менее 50), на которые необходимо обращать внимание. Далее необходимо предоставить столько же документов, которые могут быть на них похожими и вызывать ложные срабатывания. Система их проанализирует, поймет разницу между ними и в дальнейшем сама сможет различать конфиденциальную информацию.

Основные вендоры (разработчики) DLP систем

ТОП-5 вендоров по версии Gartner:

  1. Symantec
  2. RSA
  3. McAfee
  4. Verdasys
  5. Websense

Кроме ТОП-5 вендоров, немаловажную роль в развитии DLP решений сыграли

  • CA Technologies
  • GTB Technologies
  • Trustwave
  • Code Green Networks
  • Absolute Software
  • Zecurion
  • InfoWatch
Tags:
, , , , , ,
Newer SIEM – Security Information and Event Management
Back to list
Older Аудит информационной безопасности